サイト改ざん案件(報告)

最近サイト改ざんの対応案件が立て続けに入ったため、同じ被害に合わないために情報共有をします。 今回見つけたのは、以下のスクリプトをscriptタグで自動実行させるプログラムです。 wordpressのとあるページに埋め込まれていました。 ”js.trafficanalytics.online/js/js.js”   侵入手口から推測すると wordpressのアカウント奪取 FTPアカウント奪取 DBアカウント奪取 SSHアカウント奪取 ミドルウェアのセキュリティホールをつく これらのうちどこかのアカウント、セキュリティホールを利用してログイン、もしくはスクリプトを実行しているのではないかと思われます。   症状 wordpressのとあるページに というコードが埋め込まれます。 同じコードが同じ場所に連続で埋め込まれていました。 連続で埋め込まれている(規則性がある) […]